iptables 구성의 로그 항목 의미

iptables 구성의 로그 항목 의미

내 라우터는 Linux를 운영 체제로 사용합니다. 시스템 로그에는 내가 이해할 수 없는 iptable 및 klogd에 대한 줄이 많이 있습니다. 누군가 나에게 설명해 줄 수 있습니까?

iptables 설정:

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101
iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT
iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "
iptables -A INPUT -i ppp33 -j DROP
iptables -A FORWARD -i ppp33 -j DROP

예제 로그 줄:

klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12802 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0
klogd: Intrusion -> IN=ppp33 OUT= MAC= SRC=188.11.48.248 DST=2.40.146.60 LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=12889 DF PROTO=TCP SPT=60584 DPT=64137 WINDOW=8192 RES=0x00 SYN URGP=0

답변1

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

이는 인터페이스에 ppp33대상 192.168.1.101:44447에 대한 모든 요청에 ​​대해 NAT(Network Address Translation)가 설정되어 있음을 의미합니다.

iptables -I FORWARD 1 -i ppp33 -p tcp -d 192.168.1.101 --dport 44447 -j ACCEPT

이 규칙은 요청이 192.168.1.101 호스트로 전달되도록 보장하여 이전 규칙을 보완합니다.

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

규칙에 따르면 TCP 패킷에서 SYN 플래그만 볼 때 시간당 최대 6개의 "침입"을 기록합니다(호출해 준 Gilles에게 감사드립니다). 이는 일반적으로 관리자가 스텔스 네트워크 검색을 감지하는 데 도움을 주기 위해 수행됩니다. 이는 호스트에 대한 모든 인바운드 TCP에 대해 작동합니다.

iptables -A FORWARD -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

이는 위와 동일하지만 이 호스트의 NAT 뒤에 있는 다른 호스트로 향하는 모든 TCP 패킷에 대해 일부 변환을 수행할 수 있습니다.

iptables -A INPUT -i ppp33 -j DROP

이것은 포괄적인 규칙입니다. 위 규칙을 준수하지 않는 이 호스트에 대한 다른 트래픽이 있으면 연결을 삭제하세요.

iptables -A FORWARD -i ppp33 -j DROP

이전과 동일한 규칙이지만 이 시스템이 전달할 수 있는 다른 시스템으로 전달될 수 있는 모든 연결을 삭제합니다.

답변2

iptables -t nat -A PREROUTING -i ppp33 -p tcp --dport 44447 -j DNAT --to 192.168.1.101

전송 제어 프로토콜포트 44447(즉, 인터넷 측에서)의 PPP 인터페이스로 전송된 패킷은 다음 위치에 있는 IP 주소 192.168.1.101로 재전송됩니다.개인 네트워크범위. 라우터가 NAT를 수행하고 있습니다. 특히DNAT. 이는 외부 호스트가 포트 44447에서 라우터에 연결하여 192.168.1.101에 액세스할 수 있음을 의미합니다.

iptables -A INPUT -i ppp33 -p tcp --syn -m limit --limit 6/h -j LOG --log-level 1 --log-prefix="Intrusion -> "

이 줄은 인터넷에서 TCP SYN 패킷(연결을 시작하려고 시도하는 패킷)을 기록합니다. PREROUTING 규칙에 의해 이전에 리디렉션된 패킷을 제외하고 이러한 모든 패킷이 기록됩니다. 그러나 로깅은 속도가 제한됩니다. 1시간 동안 6개 이하의 패킷이 로깅되고 후속 패킷은 무시됩니다.

iptables -A INPUT -i ppp33 -j DROP

다른 수신 패킷은 자동으로 삭제됩니다.


이러한 연결 시도를 기록하는 것은 매우 지루합니다. 인터넷에 연결된 모든 기계는 잠재적인 취약점을 찾기 위해 다양한 봇에 의해 자주 검사됩니다. 검열된 포트를 제외하고 들어오는 연결을 차단해야 합니다. 차단된 연결 시도 로그에서는 어떤 값도 얻을 수 없습니다.

관련 정보